Autor Zpráva
4li1985
Profil
Zdravim.

Da sa pomocou .htaccess zakazat uploadovanie PHP suborov na server? Viem, ze sa odporuca osetrit uploadovaci skript a povolit len urcity typ suborov, ale mame na servery niekolko webstranok, ktore vytvorili rozny ludia, vratane roznych CMS a nechcem prechadzat kazdu jednu stranku a vsetky PHP subory a hladat, kde je chyba. Chcem to vyriesit globalne pre cely server ak sa da.

Dnes nam niekto napadol server a nahral par PHP suborov a zhodil tym celu stranku.

Diky za kazdu radu.
juriad
Profil
Mělo by stačit zakázat interpretovat PHP v adresáři, do kterého se uploadují soubory.
http://stackoverflow.com/questions/1271899/disable-php-in-directory-including-all-sub-directories-with-htaccess

Aneb, ať si je klidně uploadují, ale ty zakážeš jejich spuštění. Bacha na to, ať se nepřepíše .htaccess.
Zároveň bacha na to, ať nelze includovat z tohoto adresáře (chyby typu: include ($_GET['page'] . '.php')).
4li1985
Profil
juriad:
Diky, ale tuto moznost nemam, kedze na servere bezia rozne webstranky, kazda ma svoj system a svojho programatora, takze chcel by som nastavit globalne pravidlo pre vsetky stranky. Existuje taka moznost?

--

Este jedna otazka. Da sa zistit ktory konkretny skript (resp. ktory konkretny PHP subor) bol pouzity pri uploadovani konkretneho suboru na server?

V logu vidim len toto:
93.173.163.159 - - [29/Apr/2014:05:17:52 +0200] "POST /temp/index.php HTTP/1.0" 200 - www.domain.com "-" "-" "-"

Je to subor nahrany hackerom dnes rano na nas server a chcem zistit ako ho tam dostal a tym padom to osetrit.

Diky
juriad
Profil
Hledej v logu tu jeho IP adresu; tak najdeš jaké skripty předtím volal a jeden z nich bude ten uploadovací.

Nic lepšího než zakázání interpretování souborů, jak jsem již psal mě nenapadá. Přece víš, které adresáře to jsou; stačí tedy do nich umístit .htaccess.
Davex
Profil
4li1985:
Můžeš si udělat kontrolní PHP skript a jeho spuštění před každým jiným PHP skriptem zajistíš pomocí konfigurační volby auto_prepend_file.
Kajman
Profil
Davex:
A v tom kontrolním skriptu ošetřit případné pole $_FILES?
Davex
Profil
Kajman:
Ano. Nejčistší řešení by bylo projít v cyklu pole $_FILES, vymazat nepatřičné dočasné soubory a nastavit chybový kód $_FILES[x]["error"]. Při kontrole by se mělo počítat i s uploadem víc souborů najednou se stejným identifikátorem. Pochopitelně by měl být ošetřen upload všech skriptů, nejenom PHP, ale i souborů .htaccess.
4li1985
Profil
Davex:
To by slo. Diky. ;)

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: